Unit 42, el equipo de investigación de Palo Alto Networks, ha publicado un informe de investigación sobre un nuevo gusano peer-to-peer (P2P) dirigido a la nube, denominado P2PInfect. Este gusano se dirige a los sistemas Redis vulnerables con exploits efectivos para contenedores. Al mismo tiempo, la Unidad 42 también publicó un informe sobre el ransomware Mallox. Los investigadores observaron un aumento de casi el 50 por ciento en la actividad, con servidores MS-SQL explotados para propagar el ransomware.
El 11 de julio de 2023, los investigadores de la nube de la Unidad 42 descubrieron un nuevo gusano peer-to-peer (P2P) al que llamaron P2PInfect. Escrito en el lenguaje de programación Rust altamente escalable y compatible con la nube, este gusano es capaz de infectar a través de plataformas. Se dirige a Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube.
P2PInfect: un gusano peer-to-peer autorreplicante
Las instancias de Redis pueden ejecutarse en los sistemas operativos Linux y Windows. Los investigadores de la Unidad 42 han identificado más de 307.000 934 sistemas Redis que se han comunicado públicamente en las últimas dos semanas, de los cuales 2 pueden ser vulnerables a esta variante de gusano P307.000P. Incluso si no todas las XNUMX XNUMX instancias de Redis son vulnerables, el gusano atacará esos sistemas e intentará comprometerlos.
El gusano P2PInfect infecta instancias vulnerables de Redis al explotar la vulnerabilidad de escape del sandbox de Lua (CVE-2022-0543). Esto hace que el gusano P2PInfect sea más efectivo para operar y propagarse en entornos de contenedores en la nube. Aquí, los investigadores de la Unidad 42 descubrieron el gusano al comprometer una instancia de contenedor de Redis en su entorno HoneyCloud.
Gusano ataca contenedor Redis en tarro de miel
Este es un conjunto de honeypots diseñado para identificar e investigar nuevos ataques basados en la nube en entornos de nube pública. Aunque la vulnerabilidad se anunció en 2022, aún no se conoce completamente su alcance. Sin embargo, tiene una calificación CVSS crítica de 10,0 en la base de datos nacional de vulnerabilidades del NIST. Además, el hecho de que P2PInfect explote los servidores Redis que se ejecutan en los sistemas operativos Linux y Windows lo hace más escalable y eficaz que otros gusanos. El gusano P2P observado por los investigadores sirve como ejemplo de un ataque grave que sería posible utilizando esta vulnerabilidad.
Mallox Ransomware: aumento significativo de la actividad
🔎 Grabación de un ataque Mallox por una solución XDR (Imagen: Palo Alto Networks).
Mallox, también conocido como TargetCompany, Fargo y Tohnichi, es una variedad de ransomware que se dirige a los sistemas Windows de Microsoft (MS). Activo desde junio de 2021, se caracteriza por explotar servidores MS-SQL inseguros como vector de penetración para comprometer las redes de las víctimas.
Recientemente, los investigadores de la Unidad 42 han observado un aumento en la actividad del ransomware Mallox. Desde principios de 2023, las actividades de Mallox han aumentado constantemente. Según la telemetría y los datos de código abierto, la cantidad de ataques de Mallox aumentó en un 2023 % en 2022 en comparación con 174. El grupo de ransomware Mallox reclama cientos de víctimas. Si bien se desconoce el número real de víctimas, los datos de telemetría de la Unidad 42 sugieren docenas de víctimas potenciales en todo el mundo, distribuidas en varias industrias, incluidas la fabricación, los servicios profesionales y legales, la venta al por mayor y la venta al por menor.
Mallox usa doble chantaje
Al igual que muchos otros grupos de ransomware, Mallox ransomware sigue la tendencia del doble rescate: los atacantes roban datos, cifran los archivos y amenazan con publicar los datos robados en un sitio web filtrado para que las víctimas paguen el rescate. Cada víctima recibe una clave privada para comunicarse con el grupo a través del navegador Tor y negociar los términos y el pago.
Los investigadores recomiendan usar una solución XDR/EDR para realizar una inspección en memoria y detectar técnicas de inyección de procesos. La búsqueda de amenazas permite a las organizaciones buscar signos de comportamiento inusual relacionado con la omisión de productos de seguridad, cuentas de servicio de movimiento lateral y comportamiento de los usuarios relacionado con los administradores de dominio.
Más en PaloAltoNetworks.com
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.